[Info] 3cx gehackt!!! (Offiziell bestätigt)

[ip-phoneforum72]

Aktuell gibt es in internationalen Bereichen des Internet z.B. auf Reddit Vermutungen, Hinweise und Diskussionen, dass 3cx großflächig gehackt sein könnte.

Im deutschen 3cx Forum und hier liest man dazu noch nichts.

Was ist dran an den Dingen?

S.a. Z.B.

r/3CX

r/3CX: 3CX is a popular Windows or Linux VOIP based PBX (on-prem, hosted or cloud) that works with many IP phones and SIP providers. The 3CX …

www.reddit.com

Mehrere Beiträge dazu.

???

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Bestätigt durch Nick Galea (CEO 3cx)!!!

Schmeißt alle 3cx dringend kurzfristig vom PC!

S.a.

Threat alerts from SentinelOne for desktop update initiated from desktop client

Looks like the update touches LOTS of files and directories..... /var/lib# find 3cxpbx/ -newermt "2023-03-26 14:00:00" -not -newermt "2023-03-26 15:00:00+1" 3cxpbx/ 3cxpbx/Instance1/Data/Ivr/Prompts 3cxpbx/Instance1/Data/Ivr/Prompts/Sets/8210986B-9412-497f-AD77-3A554F4A9BDB...

www.3cx.com

 

[KunterBunter]

Schmeißt alle 3cx dringend kurzfristig vom PC!

Wenn, dann wird das wohl eher längerfristig nötig sein.

 

[SnoopyDog]

Ist leider wahr.

So wie es hier beschrieben, habe ich es per Warnmail erfahren

Hackers compromise 3CX desktop app in a supply chain attack

A digitally signed and trojanized version of the 3CX Voice Over Internet Protocol (VOIP) desktop client is reportedly being used to target the company's customers in an ongoing supply chain attack.

www.bleepingcomputer.com

 

[MrSenser]

Es gibt mittlerweile Mitteilungen von 3CX in mehreren Kanälen:

Blog: https://www.3cx.de/blog/desktop-app-sicherheitswarnung/
Linkedin: https://www.linkedin.com/feed/update/urn:li:activity:7047126334317211649
Twitter:

https://twitter.com/i/web/status/1641363588097908739

 

[mipo]

Oha, der Supergau für einen ITK Anlagenhersteller.

 

[MrSenser]

Oha, der Supergau für einen ITK Anlagenhersteller.

Na ja, die Telekom ist ja ständig in den Schlagzeilen ;-)

 

[mipo]

Ja? Ich höre meist nur von Vodafone …

 

[ip-phoneforum72]

man sollte sich diesen Kommentar zu einem auf heise.de erschienenen Beitrag durchlesen:

heise online

News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.

www.heise.de

Absolut untragbar ist, dass im offiziellen Post von Nick Galea die Schwere der Problematik absolut heruntergespielt wird. Keine Empfehlung zur De-Installation, Säuberung etc., keine Wahrheit ueber die Schwere. Kein Hinweis auf eine Ursache überhaupt die Entwicklungsumgebung kompromittiert bekommen zu haben. etc...

Ein Endkunde könnte denken "ach, halb so wild".

R.

 

[mipo]

Wieder einmal der Klassiker. Erstmal so tun als wenn nichts passiert wäre. Wenn die Schadenersatzforderungen der Kunden kommen, wird es eng. Auch von Seiten der DSGVO …

Der Heise Kommentar ist schon deftig formuliert. Wenn es aber der Tatsache entspricht wäre dies ein Armutszeugnis für die Entwicklungsabteilung.

@ip-phoneforum72 Ich hab mich auch zurückgelehnt, dachte: Halb so wild ist ja nicht die Anlage nur der Client. Das den aber so gut wie jeder im Einsatz hat …

 

[SnoopyDog]

Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört

 

[NDiIPP]

Genaugenommen gehört es ja eigentlich hierhin:

3CXPhone

3CXPhone – VoIP-Telefon für Microsoft Windows

www.ip-phone-forum.de

Edit:
Aber "3CX Neuigkeiten" ist sicherlich auch nicht schlecht, so wie jetzt das neue Thema dort...

 

[ip-phoneforum72]

Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört

Ich habe das ja Initial gepostet.

Erstens war das zum Post-Zeitpunkt (bei mir) erst nur eine Vermutung, nachdem ich bei Reddit und anderen internationalen Foren darauf aufmerksam wurde.

Zweitens nahm ich an, dass dieses Forum eher für offizielle Ankuendigunegn vorgesehen wäre.

Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet

 

[Novize]

Ich bin mir ehrlich gesagt nicht sicher, wo das am besten hin passt:
beim 3CX-Softphone ist es aufgrund der genau dort enthaltenen Lücke zwar korrekt einsortiert, geht dort aber sehr schnell unter, was die Gefahr imo zu sehr relativiert.
Bei den 3CX-Neuigkeiten passen eher neue Produkte hin, als Warnungen und Wasserstandmeldungen von alten bzw etablierten Produkten.
Hier hingegen geht es um das 3CX-System im Ganzen, daher habe ich diesen Thread auch nicht verschoben sondern hier belassen

 

[MrSenser]

Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet

1. Das kann ich nicht bestätigen. So weit ich weiss arbeiten die rund um die Uhr an einer Lösung
2. Im englischen Forum antwortet der CISO direkt, da scheint es manchmal schwer zu sein mit zu halten
3. 4. Natürlich wollen die Leute schnelle Antworten, wie informiert wurde gibt es auch gerade eine Untersuchung. Ich denke schon, dass 3CX informieren wird, wenn es was zu informieren gibt. Spezies wie Heise etc wärmen alten Tabak auf, damit sie Schlagzeilen haben. Ich denke es verstehen schon viele, dass die genaue Überprüfung des Quellcodes halt ein bischen dauert und man vorsichtig sein sollte, was man kommuniziert.

 

[FlyingToaster]

Der enthaltene Trojaner wird ganz sicher auf das Update warten. (Ironie)

3CX-Neuigkeiten passen eher neue Produkte hin

Dann bitte in 3CX-Neuheiten umbenennen.

 

[H´Sishi]

Kompromittierte Software, die noch dazu ein internes Update anbietet, ist selbst auf gesicherten Systemen ein prima Einfallstor.

Für die Installation sind Admin-Privilegien notwendig. Je nach Umgebung bleiben diese auch erhalten, wenn aus der Installation heraus dann die eigentliche Software gestartet wird.
Ist dann in der (aus der Admin-Installation heraus gestartete) Software die Malware enthalten, war's das.

 

[ip-phoneforum72]

Was machen eigentlich die, die vom Virenschutz die Dateien und den Installer gelöscht bekamen?

Eine De-Installation ist ja über normale Windows Mittel dann nicht mehr möglich.

Oder sollten die die neue (geprüfte) Version einfach drüberinstallieren?

R

 

[FlyingToaster]

Wenn du den PC (oder was auch immer) nach dem Befall noch einsetzt, ist das in meinen Augen eher grob fahrlässig.
Allenfalls würde ich die "Kiste" mal eine Woche ausgeschaltet lassen und danach offline mit Desinfec't prüfen, was schon mal 2-3 h dauern kann. Nach einem Fund (weiterhin offline) prüfen was in der 1. Minute nach dem Zeitpunkt des Befalls noch so an neuen Dateien angelegt wurde und mal bei Virustotal hochladen. Wenn du den genauen Zeitpunkt des Befalls hast, kannst du auch das letzte System-Image-Backup vor dem Befall zurückspielen.

 

[H´Sishi]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

Die kompromittierte Installer-Datei sollte auch nicht mehr zur De-Installation genutzt werden. Es ist ja bekanntermaßen Malware enthalten.

Am besten fahren diejenigen, die die Installation unter Überwachung durch Installations-Wächter durchgeführt haben. Solche Programme protokollieren, welche Verzeichnisse, Dateien und Registry-Einträge erstellt werden und können eine Installation dann restlos entfernen.
Leider kann ich mangels Erfahrungen und aufgrund der großen Anzahl dieser Programme nicht sagen, welche empfehlenswert sind und welche vorgeben zu überwachen, aber tatsächlich nur die Windows-eigenen Tools und Install-Logs nutzen und bei Malware-Befall wie in diesem Thema versagen.

3CX-Nutzer müssen wohl so lange warten und schmoren, bis es detaillierte Anleitungen zur Entfernung der Malware-Teile gibt und können dann nur hoffen, daß nichts nachgeladen wurde.

 

[MrSenser]

Hier Neuigkeiten zur Untersuchung:

Sicherheitsupdate: Erste Ergebnisse von Mandiant

Erste Ergebnisse von Mandiant identifizieren den Cluster UNC4736 als verantwortlich für den 3CX-Supply-Chain-Angriff. Weitere Infos hier.

www.3cx.de